原标题:实施不满一年,《个人信息安全规范》要改了!——2019版《个人信息安全规范 (草案)》解读
作者 | 杨洪泉 安杰律师事务所 合伙人
实施不满一年,《个人信息安全规范》要改了!
2018年5月1日生效的《信息安全技术—个人信息安全规范》(GB/T 35273—2017)(下称“《标准》”)无疑是我国个人信息保护领域最重要的国家标准。尽管《标准》仅是国家推荐标准,但在我国尚未出台《个人信息保护法》、且其他法律(包括《网络安全法》)缺乏具体可操作的个人信息保护规则的情况下,《标准》自其颁布之日,已成为企业个人信息保护合规工作可实际依赖的唯一标准。由于相关监管部门似乎也将《标准》作为衡量企业个人信息保护水平的重要标尺,《标准》已隐隐成为具有一定权威性和约束力的“准法律”。
2019年2月1日,全国信息安全标准化技术委员会公布了《信息安全技术 个人信息安全规范(草案)》(下称“《草案》”)全文,面向社会公开征求意见(意见反馈截止日期为2019年3月3日)。如此重要的文件在实施尚不足一年的情况下即迎来首次修订,实属罕见也颇有深意。本文就《草案》中的九大重要修改详细解读如下:
一、增加“不得强迫收集个人信息”的要求
在实践中,个人信息控制者将“用户同意隐私政策”与“用户使用其产品或服务”强制绑定的情况较为常见。用户即便不同意提供某些个人信息、或不同意隐私政策中的某些条款,但为使用产品或服务也只能无奈勾选同意。针对此类情况,《草案》规定了个人信息控制者不得强迫收集个人信息的具体要求:
• 当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不得违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。对个人信息控制者的要求包括:
a) 不得通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求;
b) 应根据个人信息主体主动填写、点击、勾选等自主行为,作为产品或服务的业务功能开启或开始收集个人信息的条件,并提供关闭或退出业务功能的途径或方式。关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样简便;
c) 如个人信息主体不同意使用、关闭或退出特定业务功能,个人信息控制者不得频繁征求个人信息主体的同意;
d) 如个人信息主体不同意使用、关闭或退出特定业务功能,个人信息控制者不得暂停个人信息主体自主选择使用的其他业务功能,或降低业务功能的服务质量。
根据《标准》,在某些例外情况下,个人信息控制者即便未征得个人信息主体的授权同意,也可以收集和使用个人信息。对于此类例外情况,《草案》予以修改:
• 删除“法律法规规定的其他情形”,增加 “与个人信息控制者履行法律法规规定的义务相关的情形”;
• 删除 “根据个人信息主体要求签订和履行合同所必需的情形”。
上述修改是否合理有待商榷。“与个人信息控制者履行法律法规规定的义务相关的情形”明显比“法律法规规定的其他情形”范围更窄。获取个人信息主体同意的例外情形范围缩窄,应更有利于保护个人信息主体的选择同意权,但“与个人信息控制者履行法律法规规定的义务相关的情形”是否能穷尽我国法律法规(包括未来的法律法规)对于强制获取个人信息的全部情形?换言之,“法律法规规定的其他情形”是否表明这些情形都是“与个人信息控制者履行法律法规规定的义务相关的情形”?是否可能存在“个人并无法律或法规下的义务提供个人信息”、但“法律法规规定政府部门、任何机构或个人可获取个人信息而无需个人信息主体同意”的情况?
“根据个人信息主体要求签订和履行合同所必需的情形”被删除,似乎与实践中互联网服务商滥用隐私政策等行为有关。如个人信息控制者以双方之间存在隐私政策或合同为借口来大肆收集和使用个人信息,当然有必要予以约束。但这一删除可能会导致某些正常业务场景的复杂化并从而加重企业合规负担。例如,在劳动关系中,根据《标准》的现行版本,用人单位可根据“个人信息主体要求签订和履行合同所必需的情形”这一豁免情形收集和使用员工方的个人信息,而无需特意考虑员工方的同意(例如要求员工在入职时填写“入职登记表”即可,而无需签署确认同意)。但如根据《草案》将此例外情形删除,则用人单位为谨慎合规,不得不专门设计包含一系列复杂条款的个人信息收集/使用知情同意书,并要求员工确认签字。对于大型企业而言,这一程序将尤为繁琐复杂、不易实现。用人单位也可通过制定企业规章制度的形式来对员工的知情同意进行固化,但用人单位的规章制度本身是否可替代员工的同意(特别是涉及个人敏感信息时的明示同意),仍有待研究。
三、增加“个性化展示及退出”机制
针对大数据杀熟、滥用定向广告等行为,2019年1月1日正式施行的《电子商务法》第十八条规定:“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益”。与此呼应,《草案》对个人信息控制者的“个性化展示”行为提出更高的要求和更为细化的操作规则:
• “个性化展示”是指基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。
• 在向个人信息主体推送新闻或信息服务的过程中使用个性化展示的,应:
a) 以显著方式标明“个性化展示”或“定推”等字样;
b) 为个人信息主体提供简单直观的退出个性化展示模式的选项。
• 电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;
• 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜:
a) 建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力;
b) 当个人信息主体选择退出个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
四、增加对“基于不同业务目的所收集的个人信息的汇聚融合”的要求
在实践中,个人信息控制者特别是大型互联网平台可基于不同产品和服务获得多种多样的个人信息,并在此基础上进行汇聚、融合形成新的个人信息包。此类汇聚融合行为虽有助于数据应用创新,但一旦滥用将直接威胁个人信息安全。对此,《草案》提出如下要求:
• 对于汇聚融合所形成的新的个人信息包也应遵守个人信息的使用限制,即:
a) 除为达到个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人;
b) 对于能够单独或与其他信息结合识别自然人个人身份,或者反映自然人个人活动情况的,应将其认定为个人信息。对其处理应遵循收集个人信息时获得的授权同意范围;
c) 使用此类个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用的,应再次征得个人信息主体明示同意。
• 应根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取适当的个人信息保护措施。
五、新增“第三方接入管理”要求
在实践中,个人信息控制者在其产品或服务中集成第三方产品或服务的情况较为常见。对于该第三方产品或服务收集个人信息的行为(例如,移动App中内置可收集用户个人信息的第三方SDK),用户往往不易察觉,且通常未获得充分告知。此类第三方产品和服务“默默”收集和使用用户个人信息的行为给个人信息安全带来极大隐患。对此,《草案》规定,当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务且不适用该标准所规定的“委托处理”、“共同个人信息控制”的情形时,
对个人信息控制者的要求包括:• 应建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;
• 应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;
• 应向个人信息主体明确标识产品或服务由第三方提供;
• 应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅;
• 应要求第三方根据本标准相关规定要求向个人信息主体征得收集个人信息的授权同意,核验其实现本项要求的方式;
• 应要求第三方产品或服务建立响应个人信息主体请求、申诉等的机制,并妥善留存、及时更新,确保个人信息主体查询、使用;
• 应督促和监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入;
• 涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜:
a) 开展技术检测确保其个人信息收集、使用行为符合约定要求;
b) 宜对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定行为的及时切断接入。
六、提升个人数据保护官(DPO)和个人信息保护部门的地位
《标准》规定个人信息控制者应建立个人信息保护的工作机构、任命个人信息保护负责人,并对其职责予以规定。对于《标准》规定的“个人信息负责人”,《草案》增加了如下资历要求和汇报线:
• 个人信息控制者的个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作。
对于个人信息保护负责人和个人信息保护工作机构的职责,
《草案》增加了如下内容:• 组织制定个人信息保护工作计划并督促落实;
• 提出个人信息保护的对策建议
• 公布投诉、举报方式等信息并及时受理投诉举报;
• 与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
此外,《草案》还规定:
• 个人信息控制者应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。
七、细化“个人信息安全事件报告”要求
《网络安全法》规定,在发生或者可能发生个人信息泄露、毁损、丢失的情况时,网络运营者应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。但该规定较为宽泛,其中没有规定个人信息泄露所需达到的具体人数、条数才需报告,对“按照规定”所指的何种“规定”、对“有关主管部门”究竟是指哪个部门也语焉不详。
对此,《草案》试图给出更为细化的指引:• 当发生超过100万人个人信息或者关系国计民生、公共利益的个人敏感信息(例如基因、生物特征信息、疾病等个人敏感信息)泄露、毁损、丢失的安全事件,应将有关情况报网信部门。
从文义上看,以上规定不能解释为“个人信息控制者在发生个人信息安全事件时仅需向网信部门报告”,也不能解释为“网信部门仅受理此类报告”。个人信息安全事件报告制度仍有待进一步细化。但对于《草案》提及的上述具体情况,个人信息控制者向网信部门报告的义务已有较为清晰的操作标准。
八、增加“个人信息处理活动记录”要求
为实现对个人信息全流程精细化管理,《草案》要求个人信息控制者对其个人信息处理活动予以详细记录和维护:
• 个人信息控制者宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录的内容可包括如下方面:
a) 所涉及个人信息类别、数量、来源(例如从个人信息主体直接收集或通过间接获取方式获得);
b) 根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;
c) 与个人信息处理各环节相关的信息系统、组织或人员。
九、对“保障个人信息主体选择同意权的方法”提出更详细的规则
对于个人信息控制者如何保障个人信息主体行使同意权,《标准》给出其建议的交互式功能界面模板供企业参考使用。对此,《草案》对相关具体步骤给出进一步详细解释:
• 区分基本业务功能和扩展业务功能,区分的方法如下:
a) 应根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求,划定产品或服务的基本业务功能;
b) 不应将改善服务质量、提升用户体验、研发新产品单独作为基本业务功能;
c) 将产品或服务所提供的基本业务功能之外的其他功能,划定为扩展业务功能。
• 基本业务功能的告知和明示同意,实现方法如下:
a) 在基本业务功能开启前(如个人信息主体初始安装、首次使用、注册账号等),应通过交互界面或设计(如弹窗、文字说明、填写框、提示条、提示音等形式),向个人信息主体告知基本业务功能所必要收集的个人信息类型,以及个人信息主体拒绝提供或拒绝同意收集将带来的影响,并通过个人信息主体对信息收集主动做出肯定性动作(如勾选、点击“同意”或“下一步”等)征得其明示同意;
b) 个人信息主体不同意收集基本业务功能收集所必要的个人信息时,个人信息控制者可拒绝向个人信息主体提供该业务功能;
c) 交互界面或设计应方便个人信息主体再次访问及更改其同意的范围。
• 扩展业务功能的告知和明示同意,实现方法如下:
a) 在扩展业务功能首次使用前,应通过交互界面或设计(如弹窗、文字说明、填写框、提示条、提示音等形式),向个人信息主体逐一告知所提供扩展业务功能及所必要收集的个人信息,并允许个人信息主体对扩展业务功能逐项选择同意;
b) 如个人信息主体不同意收集扩展业务功能收集所必要的个人信息,个人信息控制者不得反复征求个人信息主体的同意。除非个人信息主体主动选择开启扩展业务功能,在24小时内向用户征求同意的次数不得超过一次;
c) 如个人信息主体不同意收集扩展业务功能收集所必要的个人信息,不得拒绝提供基本业务功能或降低基本业务功能的服务质量;
d) 交互界面或设计应方便个人信息主体再次访问及更改其同意的范围。
结语
《个人信息安全规范》作为我国个人信息保护领域最重要的权威操作指引,自其发布以来已对企业个人信息保护合规实践产生十分积极的影响。我们注意到,《个人信息安全规范》较为关注互联网场景下个人信息保护问题,但对于某些传统行业有行业特色的个人信息应用场景,《个人信息安全规范》略显不够兼顾;在实务中企业遇到的很多问题亦无法在《个人信息安全规范》中找到对应的现成答案。此外,虽然名义上《个人信息安全规范》仍属于国家推荐标准,但由于其指导企业实践的唯一性和监管部门的重视,实际上导致《个人信息安全规范》被视为一部“准法律”,企业迫切希望《个人信息安全规范》能够对哪些内容是“规定动作”、哪些内容是“自选动作”进行明确区分。
当然,由于科技迅速发展、数据应用场景多变、合规监管困难等复杂因素,《个人信息安全规范》无法做到一劳永逸,仍需与时俱进、不断完善。在《个人信息安全规范》实施尚不满一年的时间即提出修改,也充分显示了制定者们对我国个人信息保护领域突出问题的敏锐思考和直面问题的勇气。
我们将密切关注《个人信息安全规范》的修订以及个人信息保护领域的其他法律问题,并及时解读。
安杰律师事务所实习生谭礼格对本文亦有贡献。
杨洪泉 安杰律师事务所 合伙人
杨洪泉律师在技术、媒体和电信(TMT)领域有15年跨国公司内部法律顾问和外部律师丰富经验,在监管、商事和公司等事务上为客户提供广泛的法律服务,尤为专注个人信息保护、网络安全、电信和互联网、电子商务、硬件和软件、技术采购和转让,分销和许可以及其他与技术有关的领域。杨律师还为客户提供合规和劳动法律服务。杨律师是中国最早从事个人信息保护和网络安全业务的律师之一。2018年,杨律师被法律评级机构LEGALBAND评为特别推荐的中国网络安全及数据专业律师。
閱讀更多 LEB企業法務智庫 的文章
